一台會遺忘的伺服器:探索 Stateless Relays
以下內容原文翻譯來自以下文章,主詞角色為 Tor Project 與本文作者群:
文末另有一節「台灣在地觀點」,整理這篇文章可延伸的本地討論方向,歡迎直接跳讀。
營運 Tor relay 需要長期對抗敵手,這些敵手可能來自私人勢力,也可能來自國家級體系,目標是破壞整體網路,由攻擊其中的節點開始。此外,有些營運者還得面對扣押、搜查,或硬體遭到直接實體接觸。這些情況在奧地利、德國、美國、俄羅斯 都有先例,也很可能不只這些地方。在這些案例裡,伺服器本身就可能變成風險來源。
Tor 之所以存在,是因為我們希望保護網路使用者,免於不必要的監控。Tor 網路的設計前提是:任何單一營運者或單一伺服器,都不應該能重建「誰正在和誰通訊」。記者、行動者、吹哨者都仰賴這個前提成立。若 relay 被扣押後可交出內容,就會侵蝕整個系統所依賴的信任,而這正是我們想解決的問題。
在這篇文章裡,我們會探索無狀態、無磁碟作業系統如何提升 relay 安全,範圍從韌體一路到使用者空間,重點放在軟體完整性與對實體攻擊的抵抗能力。這份工作來自 Osservatorio Nessuno 在義大利營運出口 relay 的經驗。relay 管理方式會因地區、技術能力、預算與司法環境而有很大差異。我們希望推動的是討論,而不是提出唯一解法。